April 2014
Hier finden Sie Nachrichten und Einträge aus dem April 2014, die sich einmal als News direkt auf der Homepage befunden haben.
7. April 2014: Heute morgen habe ich die Schulungsumgebung einer Red Hat-Schulung für den Kurs "RHCE Rapid Track Course with RHCSA and RHCE Exams" repariert...wenn man das so nennen kann. Für die Inhouse-Schulung sollten die Dell-Notebooks Latitude E5530 verwendet werden - auf denen ein aktuelles Red Hat Enterprise Linux 6.5 bzw. CentOS 6.5 problemlos läuft. Die von Red Hat bereitgestellte Schulungsumgebung basiert jedoch auf dem älteren RHEL 6.3. Sollte eigentlich keinen Unterschied machen - tut es jedoch: Bootet man ein RHEL 6.3 auf einem Dell Latitude E5530 beginnt beim Start der textbasierten Oberfläche von Anaconda (framebufferbasiert) der Bildschirm sehr schnell in verschiedenen Farben zu flackern. Gängige Tastenkombinationen reagieren nicht und kein Kernel-Parameter scheint zu helfen. Abhilfe geschaffen hat eine Netinstall-CD mit RHEL 6.5 (während das Netzwerk-Repository weiterhin RHEL 6.3 enthält) und ein anschließendes Aktualisieren des Kernel-RPMs (einschließlich Abhängigkeiten) gegen die von RHEL 6.5 per SSH. Glücklicherweise soll die Prüfung am Freitag sowieso mit RHEL 6.5 stattfinden...
8. April 2014: Gestern Nacht bzw. heute morgen wurde der "Der GAU für Verschlüsselung im Web" öffentlich bekannt - so hat es jedenfalls heise online getitelt und hat mit dem "Horror-Bug in OpenSSL" meines Erachtens absolut recht. OpenSSL ist eine der ältesten und am verbreitetsten Bibliotheken für SSL-/TLS-Verschlüsselung. Dabei hat sich im Dezember 2011 beim Hinzufügen einer neuen Funktionalität ein Fehler eingeschlichen der es ermöglicht 64 KB des RAMs auf Serverseite auszulesen - einfach nur durch Aufbau einer bestimmten SSL-Verbindung. Da sich auch der private Schlüssel des SSL-Zertifikats an der richtigen bzw. falschen Stelle im RAM befinden kann, kann unter Umständen dieser ausgelesen werden. Das wiederum bedeutet, dass aufgezeichneter verschlüsselter Datenverkehr nachträglich entschlüsselt werden kann - dabei kann man an sensible Informationen und Zugangsdaten gelangen. Die Schwachstelle befindet sich in der Heartbeat-Funktionalität, wurde von den Entdeckern "Heartbleed" genannt und betrifft OpenSSL 1.0.1 bis einschließlich 1.0.1f. RHEL 6 ist seit dem TLSv1.2-Support mit RHEL 6.5 (veröffentlicht im Dezember 2013) verwundbar.
13. April 2014: Noch immer beschäftigt "Heartbleed", auch bekannt als CVE-2014-0160, die IT-Welt - und inzwischen sogar die klassische Presse, die sich normalerweise wenig bis gar nicht für das IT-Geschehen interessiert. Kurz nach dem Bekanntwerden der Schwachstelle sind Online-Scanner wie der von Filippo Valsorda aus dem Boden geschossen - allerdings sind einige fehlerhaft. Daher sollte man unter Umständen eine Gegenprüfung mit einem nachvollziehbaren Python-Skript wie hb-test.py durchführen. Heise Security hat inzwischen den Heartbleed-Bug erklärt und der CDN-Anbieter CloudFlare war sich bis zum vergangenen Freitag relativ sicher, dass die Schwachstelle nicht praktisch ausgenutzt werden kann um einen privaten Schlüssel zu erlangen. Nur 9 Stunden später war der Gegenbeweis erbracht (sogar öffentlich nachvollziehbar) - übrigens habe ich dieses Wochenende auch mehr oder weniger erfolgreich an der sogenannten "Heartbleed Challenge" teilgenommen; jedoch waren andere eben viel schneller. Interessante Proof of Concepts zu Forschungszwecken zur Ausnutzung von Heartbleed kursieren übrigens bereits auch im Internet...
21. April 2014: Da der der älteste (oder zumindest vermutlich bekannteste) DynDNS-Dienst von Dyn im Mai 2014 seine kostenlosen Dienste nach mehreren Einschränkungen nun ganz einstellt und die zukünftige Nutzung des Dienstes mir beim besten Willen keine 25 US-Dollar pro Jahr wert ist, habe ich mich am Wochenende entschlossen in meine eigene, seit vielen Jahren selbst betriebene DNS-Infrastruktur noch zusätzlich einen DynDNS-Dienst zu integrieren. Und nachdem mir in verschiedenen Blogs waghalsige Skripte mit fehlenden Eingabeprüfungen, PHP-Skripte mit root-Rechten die Zonendateien schreiben oder verändern, ressourcenverschwendende minütliche Cronjobs oder selbstentwickelte mit root-Rechten laufende Daemons für HTTP bzw. HTTPS und/oder DNS über den Weg gelaufen sind, habe ich mich kurzerhand entschieden eine eigene sichere und dennoch flexible Lösung zu implementieren. Das dabei entstandene PHP-Skript "ddns-server" sowie die Konfigurationsdateien habe ich unter der GNU GPL veröffentlicht - und die erforderlichen Konfigurationsschritte sowie meine Erfahrungen und Probleme in einer ausführlichen Anleitung niedergeschrieben.
29. April 2014: Im Januar 2013 habe ich mir den Chipkartenleser "cyberJack® RFID standard" von REINER SCT für sicheres Online-Banking mittels HBCI bzw. FinTS gekauft. Bei der Inbetriebnahme musste ich leider feststellen, dass das Gerät leider unter Linux nicht ohne weiteres lauffähig ist - jedenfalls nicht unter Red Hat Enterprise Linux 6. Als erstes habe ich mich darum gekümmert, dass das RPM-Paket pcsc-cyberjack nicht nur in Fedora sondern auch in Fedora EPEL zur Verfügung steht. Danach musste ich feststellen, dass das in RHEL 6 mitgelieferte PCSC-Lite 1.5.2 scheinbar zu alt ist, jedoch ein Update auf 1.6.4 das Problem löst. Somit habe ich den bereits bestehenden (inzwischen nicht mehr öffentlichen) Bugreport zur Aktualisierung von pcsc-lite in RHEL 6 vorangetrieben. Nachdem es verständlicherweise aufgrund möglicher ABI-Inkompatibilitäten wohl kein Update auf eine neuere Version von pcsc-lite geben wird habe ich mir das ganze heute Abend angeschaut und einen Patch entwickelt der die Funktionalität zurückportiert: Es muss versucht werden das Kartenlesegerät zusätzlich über das libusb-Schema anzusprechen bevor abgebrochen werden darf.